exameinformatica

Uma parceria EXPRESSO

Siga-nos nas redes

Perfil

Mercados

Administração Pública: encarregados de proteção de dados e equipamentos certificados em 2018

KIRILL KUDRYAVTSEV - Getty

No próximo ano, o panorama da cibersegurança nacional deverá registar uma pequena revolução devido à entrada em vigor de novos regulamentos europeus. É chegada a hora de seguir princípio do «privacy by default; privacy by design», recordou a representante da CNPD na abertura do Mês Europeu da Cibersegurança.

  • 333

A Administração Pública vai avançar com a criação dos postos de Encarregados de Proteção de Dados para os vários organismos, departamentos e setores que a constituem ainda em 2018. Esta nova função profissional pretende preparar os organismos do Estado para a transposição do Regulamento Geral de Proteção de Dados (RGPD), mas não é a única novidade que se perfila para o próximo ano. O Grupo de Trabalho que está a desenvolver a anteproposta que aplica o RGPD à legislação nacional também admite restringir a compra de equipamentos e tecnologias que tenham obtido as certificações necessárias no que toca à proteção de dados.

Além do novo conjunto de requisitos de segurança da informação, o Grupo de Trabalho também deverá propor uma «avaliação dos equipamentos que já estão a ser usados na Administração Pública», anunciou António Gameiro Marques, diretor-geral do Gabinete Nacional de Segurança, durante a conferência de lançamento do Mês Europeu da Cibersegurança, que se realizou esta sexta-feira em Lisboa.

«A nossa ideia é que estas medidas possam começar a ser aplicadas em 2018», referiu o líder do GNS, à margem da conferência.

O Grupo de Trabalho que tem vindo a trabalhar na aplicação do RGPD foi constituído por um despacho emitido em agosto por Maria Manuel de Lemos Leitão Marques, Ministra da Presidência e da Modernização Administrativa. Além de Gameiro Marques, fazem parte do Grupo de Trabalho Alexandre Sousa Pinheiro e Maria Cristina Pimenta Coelho, consultores principais do Centro Jurídico da Presidência do Conselho de Ministros (CEJUR); Alice Maria Feiteira, Adjunta da Ministra da Presidência e da Modernização Administrativa; e ainda Tito Carlos Soares Vieira, diretor do Centro de Gestão da Rede Informática do Governo.

Os membros do grupo de trabalho deverão fechar até ao dia 30 de setembro o período de consulta pública entretanto iniciado com vista à recolha de sugestões ou reparos relativos à transposição do RGPD. Até ao dia 31 de dezembro deverá ser apresentada à Ministra da Presidência e da Modernização Administrativa uma anteproposta de lei que deverá funcionar como referência para a aplicação do RGPD em Portugal.

O despacho refere ainda que o novo Grupo de Trabalho terá como missão «identificar as regras de segurança no tratamento de dados pessoais, decorrentes do RGPD, e apresentar as diferentes alternativas sobre a arquitetura institucional necessária à operacionalização do Regulamento».

Por ser um regulamento e não uma diretiva, o RGPD passa a vigorar automaticamente nos estados-membros da UE, dois anos depois da respetiva aprovação. O que significa que, em maio de 2018, o novo regulamento europeu de proteção de dados estará, obrigatoriamente, em vigor.

A par dos Encarregados de Proteção de Dados na Administração Pública e nas empresas, o RGPD prevê a realização de auditorias no que toca à proteção de dados, e promete reforçar as funções de fiscalização das entidades de regulação (como a Comissão Nacional da Proteção de Dados ou CNPD). Entre as medidas previstas pelo RGPD figuram a portabilidade dos dados a pedido de cada cidadão ou empresa, as notificações de fugas de informação num prazo de 72 horas, e a criação de um sistema que permitirá aos cidadãos tratar de diferentes questões relacionadas com a privacidade dentro dos vários estados-membros da UE.

Com a aplicação do RGPD, há uma mudança de conceito e procedimentos que se avizinha. Clara Guerra, responsável pelo Serviço de Informação e Relações Internacionais da CNPD, aproveitou a participação na conferência realizada esta sexta-feira para recordar que as melhores práticas da segurança da informação deverão passar a nortear-se pelo mote «privacy by default e privacy by design».

«Envolver os encarregados de proteção de dados» e «um reforço do investimento na segurança dos dados» são algumas das ideias-chave apresentadas pela representante da CNPD, que não desperdiçou a oportunidade de lançar o alerta para algumas ameaças que continuam a pairar sobre os dados dos cidadãos. «Muitas organizações não têm sequer processos de reconhecimento de situações relacionadas com a violação dos dados», recorda Clara Guerra. A responsável da CNPD lembra que a inexistência de mecanismos e procedimentos internos que devem ser seguidos após a violação da privacidade dos cidadãos estará na origem dos casos de fuga de dados que se prolongam no tempo – e que só são sanados quando se tornam notícias de jornal.

Clara recordou ainda os riscos inerentes à subcontratação de empresas especializadas no armazenamento e no processamento de dados. «Escolher a empresa mais barata é uma medida de gestão normal, mas se tivermos em conta as penalizações que poderão ser aplicadas em caso de violação de dados pessoais, podemos concluir que essa decisão não compensa», exemplificou a responsável da CNPD.

Encriptação, separação de repositórios de dados que identificam pessoas dos repositórios com dados de negócio, e a avaliação dos danos causados por fugas de informação são algumas das melhores práticas elencadas pela representante da CNPD, apontando outro princípio que poderá determinar a escolha dos mecanismos de segurança a adotar em cada cenário: «Em função da sensibilidade dos dados, as organizações terão sempre a necessidade de medidas de segurança reforçadas».

O RGPD constitui apenas uma parte da reformulação de quase todo o cenário de cibersegurança que se prevê para os próximos tempos. Em maio de 2018, também deverá ficar concluída a transposição da diretiva europeia de Segurança das Redes e dos Sistemas de Informação (SRSI).

Pedro Veiga, coordenador do Centro Nacional de Cibersegurança (CNCS) e representante português junto da Agência Europeia para a Segurança das Redes e da Informação (ENISA), subiu ao palco da conferência de lançamento do Mês Europeu da Cibersegurança para lembrar que o Conselho Superior de Segurança Ciberespaço (CSSC) tem vindo a trabalhar na revisão da Estratégia Nacional de Segurança do Ciberespaço. O primeiro documento deste trabalho de revisão deverá ser entregue ao Governo no final de outubro. O CSSC também deverá ficar encarregue de avaliar a apliação da Estratégia Nacional de Segurança do Ciberespaço e levar a cabo os trabalhos de transposição da diretiva SRSI.

Estas iniciativas surgem em paralelo com as medidas anunciadas recentemente por Jean-Claude Juncker, presidente da Comissão Europeia, que apontou a cibersegurança como uma das prioridades do seu mandato. A conversão da ENISA numa Agência Europeia de Cibersegurança e a implementação de um sistema de certificações nos equipamentos usados pela administração pública figuram entre os principais medidas anunciadas pelo executivo europeu.

Pedro Veiga recorda que o Estado Português também já tratou de tomar a iniciativa no que toca à capacidade operacional: «O nosso CSIRT (Centro de Reposta a Incidentes de Segurança com Computadores, que é assegurando pelo Centro Nacional de Cibersegurança) está a ser reforçado. Concorremos a fundos europeus para garantir maior capacidade de resposta».

A diretiva SRSI já elenca os setores da energia, transportes, bancário, saúde, fornecimento de água e infraestruturas digitais como prioritários no que toca à cibersegurança. No CNCS, há a expectativa de tirar partido da margem de manobra deixada pela transposição das diretivas europeias para juntar a segurança de centros de dados de empresas consideradas fulcrais na lista de potenciais alvos a proteger.

Pedro Veiga lembra que são vários os casos de «desmazelo» que ainda se registam no panorama da cibersegurança. Com uma agravante: «Hoje, fazem-se ataques cada vez mais sofisticados, mas os níveis de conhecimento dos atacantes estão a descer cada vez mais».